29. Dezember 2009

Social Hacking für Anfänger

Heute berichtete der 26. Chaos Communication Congress (26C3) in Berlin davon, dass sie eine Flirtplattform für rechtsgesinnte Nutzer gehackt hat. Das gefällt mir. Da habe ich doch gleich mal darüber nachgedacht, was man mit den veröffentlichten Daten so anfangen kann. Was ich dazu bräuchte wäre die Liste aller Nutzer mit E-Mail-Adressen. Die gibt es hier:
http://de.indymedia.org/2009/12/269972.shtml

Um es mir einfacher zu machen, wäre es doch schön auch noch die am häufigsten verwendeten Passwörter zu kennen. Die hat der CCC hier veröffentlicht:

http://events.ccc.de/congress/2009/wiki/Hacked/Ma-flirt.de

Ich mache es Euch noch einfacher. Sie lauten:

1. 123456 (13) (kein Witz, die sind wirklich so blöd!)
2. landser (10)
3. landser88 (8)
3. siegheil (8)
5. 14881488 (6)
5. 888888 (6)
7. skinhead (5)
7. deutsch (5)
7. 123456789 (5)
10. siegheil88 (4)

Mich interessiert die Flirtplattform nicht wirklich. Spannender wären Mailpostfächer. Die Adressen habe ich ja aus der ersten Liste. Jetzt weiß ich natürlich noch nicht, welches Passwort zu welchem Nutzer gehört. Also probiere ich mal die Nutzer, die einen Teil der oben gelisteten Passwörter auch im Namen haben.
Stellen wir uns mal einen Nutzer mit dem Namen "Xx.Xx.xx1488@provider.com". Da es sich um einen braunen Deppen handelt, glaube ich mal, dass er für sein Mailpostfach das gleiche Passwort benutzt, wie für die Flirtplattform. Mehrere könnter er sich vermutlich nicht merken. Also probiere ich "14881488" und voila!

Über den Mailaccount könnte ich jetzt so einiges über den rechten Single herausfinden:

  1. Sein Name lautet S. T. und ich kenne auch die Postadresse.
  2. Ich kenne seinen ebay-Nutzernamen
  3. Ich kenne Nutzername und Passwort für seine Amazonaccount.
  4. Ich weiß, dass er vor einiger Zeit eine Zahlung an Amazon nicht leisten konnte.
  5. Er bestellt Waren bei Versendern von bei Nazis beliebten Waren (Thor Steinar, DS-Versand, Patria-Versand).
  6. Ich habe die E-Mailadressen von etwa 20 seiner Kontakte.
  7. etc,
Damit könnte ich jetzt vortrefflich weiter recherchieren, Mails in seinem Namen zu verschicken oder Waren auf seine Kosten zu bestellen.

Ich vermute, wenn man die Liste mal durch geht, findet man den einen oder anderen braunen Idioten, dessen Passwort sich leicht erraten lässt.

Das war natürlich nur eine theoretische Beschreibung dessen, was man machen könnte. Ich würde das selbstverständlich nie tun.

P.S. Die Flirtplattform ist zurzeit offline.

11 Kommentare:

Anonym hat gesagt…

Ich bin zwar wahrlich kein freund rechter ideologien, oder derer Anhänger, ich finde aber solche Aktionen immer sehr bedenklich. Wenn man erst anfängt, Menschen- und Bürgerrrechte von der Gesinnung abhängig zu machen ("In die Privatsphäre von Nazis darf man ruhig gewaltsam eindringen"), dann ist man moralisch nicht viel besser, als die, die man kritisiert.

Zaphod Beeblebrox hat gesagt…

Da hast Du natürlich recht. Ich habe aber nichts mit Daten irgendwelcher Rechtsgesinnter angestellt. Ich wollte nur mal darauf hinweisen, wie leicht es sit von einem Datensatz zum nächsten zu kommt, wenn sich Nutzer nicht genug Gedanken über die Datenspeicherung, angefangen bei einem guten Passwort, machen.
Ich gebe aber zu, dass ich keinen Post geschrieben hätte, wenn es um Zugangsdaten zu Mitgliedern des Roten Kreuzes oder ähnlichem gegangen wäre.

Anonym hat gesagt…

Die Frage ist eher: Wodurch lag der Fehler?

So einen kompletten Hack erreicht man nicht durch das knacken irgendeines unsicheren Benutzerpassworts. Da muss ganz woanders angegriffen worden sein. Entweder auf einer Schwachstelle im Server oder der Software verwendeten Flirt- Plattform. "Die Schuld" liegt daher sehr wahrscheinlich beim Plattformbetreiber und nicht bei den Leuten, die diese benutzen.

Zaphod Beeblebrox hat gesagt…

Da hast Du recht. Das habe ich ja auch so geschrieben.
Die Frage ist, was ist möglich, wenn Nutzerdaten veröffentlicht werden? Vor allem wenn unsichere Passwörter, noch dazu die gleichen bei allen Diensten, genutzt werden.

Mein Appell ist ja nur: macht Euch Gedanken über die Qualität Eurer Passwörter.
Ich selber nutze drei verschiedene. Ein sehr sicheres, ein sicheres und eines für Dienste, die mir egal sind, bei denen ich mich nur mal anmelden musste.

Flüge hat gesagt…

Das ist ja unfassbar! Wie dumm manche Menschen einfach sind.. Das lädt ja förmlich zum Hacken ein!
Und ganz ehrlich: mein Mitleid hält sich für diese braunen Personen stark in Grenzen!

Anonym hat gesagt…

Nur mal ganz kurz zu den Bedenken wegen der "Menschen- und Bürgerrrechte": Diese bewahren dich und mich davor, dass der STAAT in diese Rechte eingreift. Sie gelten nicht für private Beziehungen, Verhandlungen, Informationen, Geschäfte etc. Und Nazis würden sich im Ernstfall sowieso nen Dreck drum scheren.

Unknown hat gesagt…

Hallo, hier könnt ihr noch was lernen: http://uxmadexmyxday.wordpress.com/

Gledwood hat gesagt…

Social Hacking verstehe ich nicht. Sie sind zu intelligent für mich...

Silke hat gesagt…

Ich stimme Anonym zu. Egal wie berechtigt eine solche "Recherche" erscheinen mag, Jeder hat das Recht auf Datenschutz, auch Idioten.

tech solution hat gesagt…

very nice.
stop ringing in ears

Dirk hat gesagt…

Für meine Begriffe diskutieren wir ein wenig am Thema vorbei: natürlich hat jeder Mensch ein Recht auf Privatsphäre und Datensicherheit, auch "Idioten" wie es weiter oben so schön heißt.

Die Frage ist doch eher: Was kann ich für mich und mein Umfeld daraus lernen und besser machen?